Zum Inhalt springen

S/MIME & OpenPGP & GnuPGP Verschlüsselungsmethoden für den E-Mail Inhalt

23. April 2021 durch
Christian Lisec
Was ist SMTP (Simple Mail Transfer Protocol)

SMTP wurde im Jahre 1982 entwickelt und hatte in dieser Zeit keine Sicherheitsfeatures. SMTP ist ein Transportprotokoll, welches üblicherweise E-Mail Dateien in Klartext über ein Netzwerktunnel versendet. Da die Nachfrage für ein sicheren E-Mail Datenaustausch stetig stieg, wurde neben der Entwicklung von verschlüsselten Transportprotokollen (z. B. SMTPS) zusätzlich die Methode für das Verschlüsseln von E-Mail Dateien entwickelt. Dadurch wurden E-Mails in Klartext mit dem SMTP Protokoll transportiert, aber der Inhalt der E-Mail ist unkenntlich gemacht. Neben der Verschlüsselung der gesamten E-Mail Daten gibt es auch die Methode, ausschließlich den Absenderadressen- oder Headerteil der E-Mail für eine Absendervalidierung zu verschlüsseln. S/MIME (Secure / Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy) sind eines der ersten zwei verschiedene Anwendungsmethoden für das Verschlüsseln und Signieren von E-Mails.


Was ist S/MIME

S/MIME ist ein Standard, welches die Methode Public Key - Cryptography für die Verschlüsselung, Entschlüsselung und Signierung von E-Mails einsetzt.

Der Klient beantragt einen Public-Private Schlüsselpaar von einer zentralisierten, vertrauenswürdigen Autorität. Der private Schlüssel wird sicher verwahrt und durch dem Klienten einbehalten, während der öffentliche Schlüssel dem Empfänger der E-Mail durchgereicht wird.

Sobald der Klient eine E-Mail digital signiert, wird der Kopf-/Absenderteil der E-Mail Datei mit seinem privaten Schlüssel verschlüsselt. Der Inhalt der E-Mail ist dabei nicht verschlüsselt. Der Empfänger der signierten E-Mail kann mit dem öffentlichen Schlüssel den Kopf-/Absenderteil entschlüsseln und somit den Absender validieren. Dadurch das der private Schlüssel ausschließlich im Besitz des Absenders ist, sollte sichergestellt sein, dass die versendete E-Mail ausschließlich vom Besitzer des privaten Schlüssels erstellt wurde. Als Empfänger sollte man sich trotzdem immer das Potenzial vor Augen halten, dass der private Schlüssel vom Besitzer abhandenkam und jemand Unberechtigtes diesen benutzen könnte, um sich als den Absender fälschlicherweise auszugeben. Im Falle, dass der Absender den gesamte E-Mail Inhalt verschlüsseln will, verschlüsselt er nicht nur den Kopf-/Absenderteil, sondern die gesamte E-Mail Datei mit seinem privaten Schlüssel.

Sobald der erwähnte Empfänger eine E-Mail an den Absender verschlüsselt zurücksenden möchte, nutzt dieser den öffentlichen Schlüssel des Absenders erneut, sodass die E-Mail Nachricht ausschließlich durch den privaten Schlüssel des vorherigen Absenders entschlüsselt werden kann.

Eine weitere Möglichkeit währe, dass der Absender die E-Mail mit seinem privaten Schlüssel signiert und den Inhalt der E-Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Dadurch kann der Empfänger den E-Mail Inhalt mit seinem privaten Schlüssel entschlüsseln und die Signatur mit dem öffentlichen Schlüssel des Absenders validieren. Mit dieser Möglichkeit ist sichergestellt, dass ausschließlich der Absender als auch Empfänger die Nachricht gelesen, modifiziert und erstellt haben.

Für gewöhnlich beantragt man sein S/MIME Schlüsselpaar bei einem vertrauenswürdigen Anbieter auch bekannt als Trusted Authority, welcher seine Schlüsselpaare gegen Entgelt zur Verfügung stellt.

 

Was ist OpenPGP

Bevor OpenPGP entwickelt und veröffentlicht wurde, gab es die PGP Verschlüsselungsmethode. Da es in den 90er Jahren zu unschlüssigen Patentproblemen mit PGP in den USA mit einer Firma und einem privaten Entwickler (Phil Zimmerman) kam, wurde eine Open Source Variante, namentlich OpenPGP durch die Internet Engineering Task Force (IETF) entwickelt. Die Open Source Lösung soll dem Schutz dienen, dass keine unberechtigte Drittperson Dateien im Klartext lesen können. Heutzutage wird diese Methode verwendet, um für gewöhnlich Textnachrichten als auch E-Mails zu verschlüsseln. Der Unterschied zu S/MIME ist, dass kein vertrauenswürdiger Herausgeber der Schlüsselpaare benötigt wird. Somit entfallen auch Aufwandskosten für die erbrachte Leistung des jeweiligen Herausgebers der Schlüsselpaare.

OpenPGP findet mittlerweile in vielen Anwendungsprogrammen Einsatz. Microsoft Outlook, Thunderbird und Apple Mail unterstützen mit nur wenigen Schritten diese Verschlüsselungsmethode.

 

Was ist GnuPG

GNU Privacy Guard (GPG oder GnuPG) ist wie mit OpenPGP eine abgeleitete Variante von PGP. Der Unterschied von GnuPG und OpenPGP liegt darin, dass wie bei S/MIME ein Herausgeber der Schlüsselpaare eingesetzt werden kann und eine andere Lizenzierung eingesetzt wird. Der Herausgeber oder Trusted Authority von GnuPG-Anbieter ist im Vergleich zu S/MIME ein unabhängiger Herausgeber. Da dieser unabhängig ist, kann dieser Herausgeber leichter als S/MIME infrage gestellt werden. GnuPG Benutzer sollen also selbst sicherstellen, ob der jeweilige Schlüssel-Herausgeber ein valider Drittanbieter für die Schlüsselvergabe ist. Die Überprüfung einer signierten E-Mail mit GnuPG wird durch das hinterlegen einer verifizierten E-Mail Adresse im Schlüsselpaar des Herausgebers sichergestellt. Bei S/MIME sind für gewöhnlich zusätzlich zu der E-Mail Adresse auch Anschriftdaten des Klienten hinterlegt. Wie bei OpenPGP findet GnuPG ausgiebig Einsatz in Windows, Mac OS und Linux Distributionen. Patentierte bzw. Proprietäre Algorithmus-Technologien für die Dateiverschlüsselung sind aus Lizenzierungsgründen nicht in GnuPG bereitgestellt.

Es ist nicht nötig, einen GnuPG Schlüsselpaar Herausgeber (Drittperson) einzusetzen. Man kann auch E-Mails ohne einen vertrauenswürdigen Herausgeber signieren und verschlüsseln.

Christian Lisec 23. April 2021
Diesen Beitrag teilen
Stichwörter